Ce que vous devez savoir à propos de WannaCry

F-Secure au Quotidien, Menaces & Hacks, Sécurité & Confidentialité, Trucs & Astuces

Quand cette attaque s’est-elle produite ?

Le 12 mai 2017, de très nombreuses organisations ont été frappées par le crypto-ransomware WannaCry. Les victimes se sont retrouvées dans l’incapacité d’utiliser leur machine et d’accéder à leurs fichiers, ces derniers ayant été chiffrés. Le prix de la rançon, pour les récupérer : jusqu’à 300 $. Le fichier d’informations auquel ont accès les victimes précise que si elles n’ont pas les moyens de payer, elles pourront récupérer leurs fichiers gratuitement…. après 6 mois.

Comment cela est-ce possible ?

Le Laboratoire F-Secure mettait en garde depuis longtemps déjà contre la croissance exponentielle des ransomware et contre les dangers des outils de surveillance gouvernementaux, susceptibles d’échapper aux mains des autorités pour se retrouver dans celles des pirates. Avec le crypto-ransomoware WannaCry — qui s’est répandu comme une traînée de poudre ce vendredi — ces craintes sont devenues réalité.

Qui sont les victimes ?

De très nombreuses organisations ont été impactées, notamment des infrastructures publiques. Plus de 60 pays ont rapportés avoir été attaqués… Parmi les victimes : des organisations sanitaires, mais aussi des entreprises de gaz ou des compagnies électriques. Le National Health Service en Angleterre a été l’une des organisations les plus touchées, avec des hôpitaux fermés et des opérations reportées.

Selon le Laboratoire F-Secure, les pays les plus touchés sont la Russie, la Chine, puis la France, Taiwan, les États-Unis, l’Ukraine et la Corée du Sud.

Quelle est l’ampleur de cette attaque ?

Mikko Hypponen, notre Chief Research Officer, a évoqué la « plus importante attaque ransomware de tous les temps » en termes de nombre d’appareils infectés. Mais ce samedi matin, soit un jour après ces attaques, l’impact de cette attaque ne serait pourtant estimé qu’à 25 000 $, selon Andy Patel, membre du Laboratoire F-Secure. « L’expansion de WannaCry a été ralentie par un « héros accidentel » ayant enregistré un nom de domaine « killswitch » trouvé dans le code », explique-t-il. Toutefois, le problème de WannaCry n’est pas encore réglé. « Une modification mineure du code du ransomware suffirait à perpétrer de nouvelles attaques. »

Pourquoi cette attaque a-t-elle pris une telle ampleur ?

WannaCry exploite une faille de Server Message Block (SMB) de Microsoft Windows, permettant l’exécution d’un code à distance. Microsoft a patché la vulnérabilité en mars dernier (MS17-010) mais les environnements informatiques ont souvent du retard dans l’installation des patchs, et certains exécutent même des systèmes d’exploitation comme XP, qui ne sont même plus mis à jour. Il existe également un grand nombre de machines exécutant des copies piratées de Windows (en particulier en Chine ou en Russie) qui, de par leur nature, ne reçoivent pas les mises à jour : leur ordinateur est de fait vulnérable.

Compte-tenu de l’ampleur de l’attaque, Microsoft propose depuis hier un patch pour XP et Server 2003.

Pourquoi ce crypto-ransomware se répand-il si rapidement ?

La vulnérabilité MS17-010 permet à l’exploit de se comporter comme un ver. Et, par nature, les vers se répandent rapidement. WannaCry dispose d’une fonctionnalité ver et est capable de scanner, de localiser des hôtes et de s’auto-répliquer sur d’autres machines via la vulnérabilité EternalBlue. Cela ne requiert aucune interaction de l’utilisateur.

Pour le moment, rien ne prouve que WannaCry ait initialement été distribué par spam même si certains l’ont déjà affirmé.

Ver ou cheval de Troie ?

WannaCry n’est pas un ver internet. C’est un cheval de Troie qui se comporte comme un ver une fois qu’il s’est introduit sur le réseau.

Alors pourquoi son mode opératoire nous semble-t-il si familier ?

« Ce type de ransomware n’a rien de nouveau », explique Sean Sullivan, Security Advisor chez F-Secure. « Durant bien trop longtemps, les organisations ont négligé les règles basiques d’entretien des firewalls. Voilà pourquoi WannaCry s’est répandu si facilement. »

Suis-je protégé contre cette menace ?

Les utilisateurs de la protection avancée des postes de travail F-Secure sont protégés grâce à la technologie nouvelle-génération mobilisée. La fonctionnalité DeepGuard offre une analyse comportementale et permet l’interception des exploits, pour bloquer les ransomware comme WannaCry de manière proactive.

Les organisations devraient désormais toutes s’assurer qu’elles disposent d’un firewall correctement configuré et qu’elles ont installé toutes les mises à jour de sécurité Windows, en particulier la mise à jour MS17-010, qui empêche le ransomware de se répandre. F-Secure Software Updater aide les entreprises à identifier et à patcher les systèmes tiers.

Puis-je récupérer les fichiers chiffrés ?

Aucune clé de déchiffrement n’est disponible pour le moment (hors paiement de la rançon). Il est possible de restaurer les fichiers à partir de sauvegardes lorsque celles-ci existent.

Comment ce ransomware est-il né ?

Comme beaucoup d’autres ransomware, il s’agit d’un crimeware, mais… Il tire avantage d’une vulnérabilité dont la NSA, l’agence nationale de sécurité américaine, tirait elle-même profit via certains de ses outils d’espionnage. L’existence de ces outils avaient été révélée en avril dernier, par The Shadow Brokers (une entité vraisemblablement russe).

S’agit-il d’attaques ciblées ?

Non, il ne s’agit pas d’attaques ciblées. Les campagnes de ransomware ne procèdent à aucune distinction de ce genre.

Une bonne nouvelle, pour compenser ?

Il s’agit d’un crimeware. L’auteur n’est ni un État ennemi, ni un groupe terroriste. Les victimes peuvent payer pour récupérer l’accès à leur ordinateur. Un pirate aux intentions plus politiques ne proposerait pas cette option.

Comment nous protégez-vous contre WannaCry ?

Les produits de sécurité des postes de travail F-Secure vous offrent une protection proactive contre WannaCry. Nous avons détecté ce ransomware dès son arrivée : avant même l’épidémie, les clients F-Secure étaient donc déjà protégés.

F-Secure vous protège contre WannaCry sur trois niveaux : elle stoppe l’attaque à plusieurs étapes de sa progression

  • Notre outil de gestion des patchs intégré, Software Updater, empêche WannaCry d’exploiter la vulnérabilité EternalBlue en installant automatiquement les patchs de sécurité.
  • La fonctionnalité DeepGuard propose une analyse comportementale basée sur l’hôte et permet l’interception des exploits, pour bloquer les ransomware comme WannaCry de manière proactive.
  • Le firewall F-Secure empêche WannaCry de se développer latéralement sur votre système et de chiffrer vos fichiers.

Je suis client F-Secure, que dois-je faire ?

  • Assurez-vous que DeepGuard et la protection en temps-réel sont activés pour tous les appareils de votre entreprise.
  • Identifiez les appareils ne disposant pas du patch fourni par Microsoft (4013389) avec Software Updater ou d’autres outils du même type.
  • Patchez-les immédiatement.
    1. Dans le cas où cela ne serait pas possible, nous vous recommandons de désactiver SMBv1 en suivant les étapes décrites ici : Microsoft Knowledge Base Article 2696547, afin de réduire votre surface d’attaque.
  • Configurez votre firewall correctement
    1. Utilisez les firewalls réseau et hôte pour bloquer le trafic TCP/445 issu de systèmes potentiellement suspects.
    2. Si possible, bloquez le port 445 pour tous les systèmes Windows reliés à internet.
    3. À la place, vous pouvez aussi paramétrer le firewall F-Secure pour une protection élevée, dont les paramètres prédéfinis vous permettent de bloquer l’attaque.

Quelle est la meilleure des stratégies pour se protéger d’un ransomware ?
Voici nos 5 conseils pour rester à l’abri des ransomware :

Assurez-vous de posséder une solution de sécurité robuste, qui couvre tous vos appareils (PC, Mac, smartphones et tablettes). La protection des postes de travail F-Secure vous protège contre toutes les menaces ransomware connues. Elle est aussi capable de bloquer les attaques 0-day encore inconnues, ce qui s’avère essentiel à une heure où de nouveaux ransomware ne cessent d’apparaître.

Procédez à des sauvegardes régulières de vos données. Stockez-les hors-ligne : ainsi, elles ne seront pas infectées. Testez-les de temps en temps pour vous assurer que la procédure de restauration s’effectuera sans problème. Avec de bonnes sauvegardes, si jamais vous êtes touché, vous pourrez rapidement remédier au problème, sans avoir besoin de verser de l’argent aux pirates.

Veillez à disposer de logiciels à jour, sur tous vos appareils, afin de prévenir les exploits. Si vous n’êtes pas certains qu’ils sont à jour, n’hésitez pas à utiliser un outil capable d’identifier les versions de logiciels obsolètes et de suggérer des mises à jour.

Soyez extrêmement vigilant face aux pièges jointes, notamment les fichiers .zip et Office (Word, Excel, et PowerPoint). N’ouvrez jamais les pièces jointes envoyées par un expéditeur inconnu. Désactivez les macro de n’importe quel fichier Office reçu par e-mail.

Limitez l’utilisation des plug-in navigateurs. Désactivez les plug-in les plus exploités par les pirates, comme Flash Player et Silverlight, lorsque vous ne les utilisez pas. Vous pouvez effectuer cette action depuis votre navigateur, dans les paramètres.

Le problème est-il donc clairement lié à l’installation des patchs, et aux outils mis au point par les agences de sécurité ?

Oui.

« Pour éviter à l’avenir des attaques de ce type, il faut que les gouvernements cessent d’utiliser ces vulnérabilités pour leur propre intérêt », explique Sean Sullivan. « La situation aurait pu être encore bien pire si la NSA n’avait jamais su que ses propres outils avaient été divulgués. Et nous aurions assisté à une véritable catastrophe si les pirates avaient eu des intentions purement destructrices. Espérons que la NSA revienne à sa mission première de défense des réseaux, et qu’elle préfère désormais révéler les vulnérabilités plutôt que les garder secrètes afin d’en tirer profit. »

Il semble également important de souligner que notre dépendance croissante à la technologie joue un rôle dans le développement de ces attaques. Notre dépendance aux ordinateurs se développe plus rapidement que notre détermination à sécuriser nos systèmes.

Quel est le pire scénario possible ?
« Il n’y a pas de pire scénario possible », explique Sean Sullivan. « Le bon côté, c’est qu’il ne s’agit pas d’une attaque menée par un groupe terroriste ou par un État-nation. WannaCry a été conçu pour soutirer de l’argent. Via le paiement de la rançon, les données restent récupérables. Toutefois, cela montre l’impact dramatique que pourraient avoir des attaques similaires, menées à d’autres fins, plus politiques. »

 

Évaluez cet article

8 votes

1 Commentaires

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Vous pourriez aussi aimer